Algumas considerações sobre o acórdão dos Metadados do Tribunal

Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores

do art. 176.º do Código Penal

Ana Lúcia Gordinho (Juíza de Direito)

Ana Mexia (Procuradora da República)

Resumo: Na presente exposição defende-se que o acórdão do Tribunal

Constitucional n.º 268/2022, no particular contexto dos crimes de pornografia de
menores, p.p. pelo art. 176.º do Código Penal, não terá qualquer impacto quanto à
validade da prova recolhida nos moldes definidos pelo Regulamento (UE) 2016/679
e pelo Regulamento (UE) 2021/1232.

No presente artigo pretende-se fazer uma súmula da legislação comunitária

aplicável à investigação do crime de pornografia de menores.

Os processos penais que versam sobre crimes de pornografia de menores,

p.p. no artigo 176.º do Código Penal, têm, na maior parte das vezes, o seu início
com a comunicação da notícia de partilha de ficheiros contendo imagens dessa
natureza, por parte da representação em Madrid da entidade norte-americana
National Missing and Exploited Children (NMEC).

Se atentarmos no formulário das comunicações feitas pela NMEC,

verificamos que a denúncia é normalmente efetuada pelas empresas norte-
americanas que prestam serviços de redes sociais/comunicações – Facebook,
Instagram, etc. Essa denúncia parte das próprias empresas, é comunicada à NMEC
e tem por fundamento a monitorização que as empresas fazem à utilização dos
serviços que prestam. Essa monitorização é uma prática corrente dessas empresas,

Online, junho de 2023 | 1

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

não só em termos de deteção de imagens que possam conter pornografia infantil

(no âmbito dos ilícitos criminais), mas também fazem outro tipo de
monitorizações, como as de deteção de vírus, spam, etc. Essa monitorização de
conteúdos tem assim um específico intuito, e não visa a vigilância de massas sobre
o teor das comunicações 1. Essas denúncias são feitas voluntariamente pelas
empresas, através do canal Typeline, e encontram-se devidamente enquadradas
nos termos da legislação norte-americana2 e europeia 3.

Mas não só: as condições de utilização dos serviços daquelas empresas, que
são dadas a conhecer aos usuários, contêm disposições contratuais que não
permitem a partilha de pornografia infantil e que inclusivamente advertem
os utilizadores de que será feita participação ao NMEC pela própria
empresa.

Assim, no que aqui releva, as empresas participam ao NMEC conteúdos

ilícitos, in casu, pornografia infantil.

Na ordem jurídica portuguesa, o artigo 19.º-A do DL 7/2004 (com as

alterações conferidas pelos DL n.º 62/2009, de 10/03, Lei n.º 46/2012, de 29/08 e
pela Lei n.º 40/2020, de 18/08) institui deveres de informação aos prestadores
intermediários de serviços em rede, na aceção do art. 4.º, n.º 5, daquele Decreto-
lei4. Pode ler-se neste artigo que os “prestadores intermediários de serviços em

1
Cfr. Artigo 12.º do DL n.º 7/2004 (transpôs a Diretiva n.º 2000/31/CE, do Parlamento Europeu e do
Conselho, de 08.06.2000):
“Ausência de um dever geral de vigilância dos prestadores intermediários de serviços:
Os prestadores intermediários de serviços em rede não estão sujeitos a uma obrigação geral
de vigilância sobre as informações que transmitem ou armazenam ou de investigação de eventuais
ilícitos praticados no seu âmbito.
2
18 U.S. Code § 2258A - Reporting requirements of providers.
3
Art. 3º do Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, a
que voltaremos infra.
4
Art. 4.º, n.º 5 - «Prestadores intermediários de serviços em rede» são os que prestam serviços
técnicos para o acesso, disponibilização e utilização de informações ou serviços em linha
independentes da geração da própria informação ou serviço.

Online, junho de 2023 | 2

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

rede (…) informam, de imediato a terem conhecimento, o Ministério Público da

deteção de conteúdos disponibilizados por meio dos serviços que prestam sempre que
a disponibilização desses conteúdos, ou o acesso aos mesmos, possa constituir
crime, nomeadamente crime de pornografia de menores ou crime de
discriminação e incitamento ao ódio e à violência”.

O art. 19.º-B do DL n.º 7/2004, de 07 de janeiro (aditado pela Lei n.º 40/2020,
de 18 de agosto) estabelece ainda deveres de bloqueio (excecionando, assim, a lei,
o dever de sigilo).

Com efeito, refere esta norma que:

“1 - Sem prejuízo do disposto no artigo anterior, os prestadores intermediários

de serviços em rede asseguram, num prazo de 48 horas, o bloqueio dos sítios
identificados como contendo pornografia de menores ou material conexo, através de
procedimento transparente e com garantias adequadas, nomeadamente
assegurando que a restrição se limita ao que é necessário e proporcionado, e que os
utilizadores são informados do motivo das restrições.

2 - Para efeitos do disposto no número anterior, são considerados sítios

identificados como contendo pornografia de menores ou material conexo todos os
que integrem as listas elaboradas para esse efeito pelas entidades nacionais e
internacionais competentes em matéria de prevenção e combate à criminalidade, nos
termos previstos no número seguinte.

3 - As listas a que se refere o número anterior são comunicadas aos

prestadores intermediários de serviços em rede e à Procuradoria-Geral da República
pelas entidades que as elaboraram, com a colaboração das autoridades setoriais
competentes, as quais, para o efeito, fornecem também à Procuradoria-Geral da
República todos os elementos identificativos dos prestadores intermediários de
serviço em rede e informam de quaisquer alterações que ocorram nessa matéria.”

Online, junho de 2023 | 3

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

O despacho da PGR n.º 14115/2013, de 04.11.2013, publicado na 2.ª série do

Diário da República, realça: “Atualmente, alguns países e organizações
internacionais não-governamentais têm desenvolvido esforços, em conjugação com
operadores e empresas que prestam serviços aos utilizadores de internet (v. g.,
motores de busca, redes sociais, prestadores de serviços específicos on-line), no
sentido de combater o fenómeno da criminalidade sexual contra menores cuja
prática ou meios de prova se encontrem a ser divulgados através da internet a
terceiros, com programas específicos de observação, deteção e comunicação de
situações relacionadas com o aludido fenómeno, como por exemplo, e entre outros,
a posse, fabrico e distribuição de pornografia infantil, a instigação de menores à
prática de atos sexuais, a prostituição infantil, ou o envio de material de natureza
obscena a crianças.

Os dados recolhidos por aquelas entidades não permitem identificar os

eventuais autores de crimes, mas fornecem pistas para a sua identificação pelas
autoridades competentes, nomeadamente ao nível da identificação do respetivo
correio eletrónico ou do endereço IP utilizado.”.

II

Até 21.12.2020, as denúncias efetuadas através do NMEC tinham como base

legal, como se adiantou, a legislação norte-americana, o teor do clausulado de
condições de utilização e, ainda, o Regulamento UE 2016/679, de 27.04.2016.

Com efeito, no parágrafo 50 do preâmbulo daquele Regulamento consta

que:

“A indicação pelo responsável pelo tratamento de eventuais atos criminosos

ou ameaças à segurança pública e a transmissão dos dados pessoais
pertinentes, em casos individuais ou em vários casos relativos ao mesmo ato

Online, junho de 2023 | 4

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

criminoso ou ameaça à segurança pública, a uma autoridade competente

deverão ser consideradas como sendo do interesse legítimo do responsável
pelo tratamento. Todavia, deverá ser proibido proceder à transmissão no interesse
legítimo do responsável pelo tratamento ou ao tratamento posterior de dados
pessoais se a operação não for compatível com alguma obrigação legal, profissional
ou outra obrigação vinculativa de confidencialidade.”

O Regulamento (UE) 2021/1232 do Parlamento Europeu e do Conselho, de

14 de Julho, derrogou temporariamente determinadas disposições da Diretiva
2002/58/CE no que respeita à utilização de tecnologias por prestadores de serviços
de comunicações interpessoais independentes do número5 para o tratamento6 de
dados pessoais e outros para efeitos de combate ao abuso sexual de crianças em
linha.

Daquele Regulamento 2021/1232, destacam-se os seguintes artigos:

“Artigo 1.º

Objeto e âmbito de aplicação

1. O presente regulamento estabelece regras temporárias e estritamente

limitadas que constituem uma derrogação de determinadas obrigações
estabelecidas na Diretiva 2002/58/CE, com o objetivo único de permitir que os
prestadores de determinados serviços de comunicações interpessoais independentes
do número («prestadores») utilizem, sem prejuízo do Regulamento (UE) 2016/679,

5
Cfr. Art. 2.º, n.º 7, da Diretiva (UE) 2018/1972 do Parlamento Europeu e do Conselho, de 11 de
dezembro de 2018, ainda não transposta para o direito interno.
6
De acordo com o art. 4.º, n.º 2, do Regulamento 2016/679 (transposto para a ordem jurídica interna
pela Lei n.º 58/2019, de 08.08), o tratamento de dados pessoais consiste numa operação ou um
conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por
meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a
estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a
divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a
comparação ou interconexão, a limitação, o apagamento ou a destruição.

Online, junho de 2023 | 5

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

tecnologias específicas para o tratamento de dados pessoais e outros na

medida do estritamente necessário para detetar abusos sexuais de crianças em
linha nos seus serviços e denunciá-los e remover dos seus serviços material
referente a abusos sexuais de crianças em linha.

Artigo 2.º

Definições

Para efeitos do presente regulamento, entende-se por:

1) «Serviço de comunicações interpessoais independentes do número»,

um serviço de comunicações interpessoais independentes do número na aceção do
artigo 2.º, ponto 7, da Diretiva (UE) 2018/1972 [7];

2) «Material referente a abusos sexuais de crianças em linha»:

a) pornografia infantil, na aceção do artigo 2.º, alínea c), da Diretiva

2011/93/UE do Parlamento Europeu e do Conselho;

b) espetáculo pornográfico, na aceção do artigo 2.º, alínea e), da Diretiva

2011/93/UE;

3) «Aliciamento de crianças», qualquer conduta intencional que constitua

um crime nos termos do artigo 6.º da Diretiva 2011/93/UE;

4) «Abuso sexual de crianças em linha», material referente a abusos

sexuais de crianças em linha e aliciamento de crianças.

“Artigo 3.º

Âmbito da derrogação

7
Transposta para o direito português pela Lei n.º 40/2020, de 18 de agosto.

Online, junho de 2023 | 6

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

1. O artigo 5.º, n.º 1, e o artigo 6.º, n.º 1, da Diretiva 2002/58/CE não se

aplicam à confidencialidade das comunicações que envolvam o tratamento de
dados pessoais e outros por prestadores no contexto da prestação de serviços de
comunicações interpessoais independentes do número8 desde que:

a) o tratamento seja:

i) estritamente necessário para utilizar tecnologias específicas com o

único objetivo de detetar e remover material referente a abusos sexuais de
crianças em linha e de denunciá-lo a autoridades responsáveis pela
aplicação da lei e a organizações que atuam no interesse público contra o
abuso sexual de crianças e de detetar o aliciamento de crianças em linha e
denunciá-lo a autoridades responsáveis pela aplicação da lei ou a
organizações que atuam no interesse público contra o abuso sexual de
crianças,

ii) proporcionado e limitado a tecnologias utilizadas por prestadores para o

objetivo estabelecido na subalínea i),

iii) limitado a dados de conteúdo e a dados de tráfego conexos que sejam

estritamente necessários para o objetivo estabelecido na subalínea i),

iv) limitado ao estritamente necessário para o objetivo estabelecido na

subalínea i);”.

A Diretiva 2002/58/CE, referida no art. 3.º, n.º 1, do Regulamento UE

2021/1232 do Parlamento Europeu e do Conselho, de 14.07, foi transposta pela Lei

8
Serviço de comunicações interpessoais independentes do número é um serviço de comunicações
interpessoais que não estabelece a ligação com recursos de numeração publicamente atribuídos,
nomeadamente com um número ou números incluídos em planos de numeração nacionais ou
internacionais, nem permite a comunicação com um número ou números incluídos em planos de
numeração nacionais ou internacionais, como é o caso do Facebook.

Online, junho de 2023 | 7

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

41/2004, de 18.08, e versa sobre aspetos do tratamento de dados pessoais no

contexto da prestação de serviços de comunicações eletrónicas pelas Operadoras.

Ora, como ficou dito, o artigo 3.º deste Regulamento 2021/1232 derrogou os
seguintes artigos da Diretiva 2002/58/CE:

 a regra da confidencialidade do artigo 5.º, n.º 1, da Diretiva

2002/58/CE (correspondente aos arts. 3.º e 4.º da Lei n.º 41/2004, que
transpôs a diretiva);
 a regra do prazo e objetivo de conservação dos dados, previstos
no art. 6.º, n.º 1, daquela Diretiva, e que corresponde ao art. 6.º da Lei
n.º 41/2004.

Este art. 6.º obriga a que os dados de tráfego relativos aos assinantes e
utilizadores tratados e armazenados pelas empresas que oferecem redes e / ou
serviços de comunicações eletrónicas9 devem ser eliminados ou tornados
anónimos:

 quando deixem de ser necessários para efeitos da transmissão

da comunicação;
 Após o final do período durante o qual a fatura pode ser
legalmente contestada ou o pagamento reclamado.

O referido tratamento é lícito apenas até final daquele período para efeitos
de faturação e de pagamento de interligações, ou seja, o armazenamento dos dados
de tráfego, somente para efeitos das relações comerciais estabelecidas entre o
prestador de serviço (operadora) e o consumidor, é feito por um período que, em
Portugal, é de 6 meses, nos termos da Lei n.º 23/96, de 26.07.

9
Serviços públicos de comunicações eletrónicas, como a internet e a telefonia móvel e fixa e através
das suas respetivas redes.

Online, junho de 2023 | 8

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

Todavia, sublinha-se novamente, o regime dos arts. 5.º e 6.º da Diretiva

2002/58/CE, a que correspondem os arts. 3.º, 4.º e 6.º da Lei n.º 41/2004 (que a
transpôs) está derrogado (temporariamente, até 3 de agosto de 2024 - art. 10.º do
Regulamento UE 2021/1232) pelo Regulamento (UE) 2021/1232 do Parlamento
Europeu e do Conselho, de 14 de Julho de 202110.

10
O ponto 9.º do preâmbulo do Regulamento UE 2021/1232 refere que “Até 20 de dezembro de
2020, o tratamento de dados pessoais por prestadores através de medidas voluntárias para efeitos
de detetar abusos sexuais de crianças em linha nos seus serviços e denunciá-los e remover dos
seus serviços material referente a abusos sexuais de crianças em linha era exclusivamente regido pelo
Regulamento (UE) 2016/679. A Diretiva (UE) 2018/1972, que deveria ter sido transposta até 20 de
dezembro de 2020, incluiu os prestadores no âmbito de aplicação da Diretiva 2002/58/CE. A fim de
continuar a utilizar as referidas medidas voluntárias após 20 de dezembro de 2020, os prestadores
deverão cumprir as condições estabelecidas no presente regulamento. O Regulamento (UE)
2016/679 continuará a aplicar-se ao tratamento de dados pessoais efetuado através dessas
medidas voluntárias.”, em particular através do art. 6.º daquele Regulamento 2016/679
(transposto pela Lei n.º 58/2019, de 08.08).
O ponto 10.º do preâmbulo Regulamento EU 2021/1232 dispõe que “(10) A Diretiva 2002/58/CE não
contém disposições específicas relativas ao tratamento de dados pessoais por prestadores no
contexto da prestação de serviços de comunicações eletrónicas para efeitos de detetar abusos
sexuais de crianças em linha nos seus serviços e denunciá-los e remover dos seus serviços o
material referente a abusos sexuais de crianças em linha. Não obstante, nos termos do artigo 15.º, n.º
1, da Diretiva 2002/58/CE, os Estados- Membros podem adotar medidas legislativas para restringir o
âmbito dos direitos e obrigações previstos, nomeadamente, nos artigos 5.º e 6.º dessa diretiva,
respeitantes à confidencialidade das comunicações e dos dados de tráfego, para fins de prevenção,
deteção, investigação e instauração de ação penal contra infrações penais relacionadas com o abuso
sexual de crianças. Na ausência de tais medidas legislativas nacionais, e na pendência da adoção
de um regime jurídico a mais longo prazo para combater eficazmente o abuso sexual de crianças em
linha a nível da União, os prestadores deixam de poder basear-se no Regulamento (UE)
2016/679 para continuar a utilizar medidas voluntárias para detetar nos seus serviços
abusos sexuais de crianças em linha e denunciá-los e remover dos seus serviços material
referente a abusos sexuais de crianças em linha após 21 de dezembro de 2020. O presente
regulamento não prevê um fundamento jurídico para o tratamento de dados pessoais por prestadores
com o único objetivo de detetar abusos sexuais de crianças em linha nos seus serviços e denunciá-los
e remover dos seus serviços material referente a abusos sexuais de crianças em linha, mas prevê uma
derrogação de determinadas disposições da Diretiva 2002/58/CE. O presente regulamente
estabelece salvaguardas adicionais que devem ser respeitadas pelos prestadores caso pretendam
basear-se no presente regulamento.”;
O ponto 15.º daquele preâmbulo refere: “O Regulamento (UE) 2016/679 é aplicável ao tratamento
de dados pessoais no contexto da prestação de serviços de comunicações eletrónicas por prestadores
com o único objetivo de detetar abusos sexuais de crianças em linha nos seus serviços e denunciá-los
e remover dos seus serviços material referente a abusos sexuais de crianças em linha na medida em
que esse tratamento está abrangido pelo âmbito da derrogação estabelecida pelo presente
regulamento.”.

Online, junho de 2023 | 9

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

Assim, podemos concluir que, para efeitos de denúncia de crimes de abusos

sexuais de crianças em linha, por parte de empresas que exploram serviços de
comunicações interpessoais independentes do número, não existe o dever de
confidencialidade nem o dever de eliminar ou anonimizar os dados de tráfego
decorrido que esteja o prazo legal no qual a fatura pode ser legalmente contestada
ou o pagamento reclamado. Em Portugal, como se disse, esse prazo em que a fatura
(a que o dado de tráfego respeita) pode ser reclamada ou contestada é de 6 meses,
mas este prazo encontra-se derrogado pelo Regulamento 2021/1232, para efeitos de
denúncia de abusos sexuais de crianças em linha.

Ou seja, o prazo de conservação de dados de tráfego pode ser feito até ao

prazo máximo de 12 meses, de acordo com o artigo 3.º, n.º 1, al. i), do
Regulamento UE 2021/1232, que determina: “O artigo 5.o, n.o 1, e o artigo 6.o, n.o 1,
da Diretiva 2002/58/CE não se aplicam à confidencialidade das comunicações que
envolvam o tratamento de dados pessoais e outros por prestadores no contexto da
prestação de serviços de comunicações interpessoais independentes do número desde
que: (…) i) os dados sejam conservados apenas durante o período estritamente
necessário para os fins previstos na alínea h) e, em qualquer caso, não mais de 12
meses a contar da data de identificação da suspeita de abuso sexual de crianças em
linha”.

Do parágrafo 19.º do preâmbulo do Regulamento UE 2021/1232 consta: “Os

dados de conteúdo e os dados de tráfego tratados e os dados pessoais gerados no
âmbito das atividades abrangidas pelo presente regulamento, assim como o
período durante o qual os dados são posteriormente conservados em caso de
identificação de suspeita de abuso sexual de crianças em linha, deverão
permanecer limitados ao estritamente necessário para a execução dessas atividades.
Os dados deverão ser imediata e permanentemente apagados logo que deixem de ser
estritamente necessários para um dos objetivos especificados no presente

Online, junho de 2023 | 10

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

regulamento, incluindo nos casos em que não seja identificada qualquer suspeita de
abuso sexual de crianças em linha, e, em todo o caso, o mais tardar 12 meses a
contar da data de deteção da suspeita de abuso sexual de crianças em linha.
Essa obrigação deverá ser cumprida sem prejuízo da possibilidade de conservar
dados de conteúdo e dados de tráfego relevantes nos termos da Diretiva 2002/58/CE.
O presente regulamento aplica-se sem prejuízo das obrigações jurídicas de
conservação de dados aplicáveis aos prestadores ao abrigo do direito da União ou
nacional.”

Esses dados de tráfego podem ser conservados, até ao máximo de 12 meses,

pelo prestador do serviço que faz a denúncia ao NMEC. Só que esses dados de
tráfego não estão necessariamente na exclusiva disponibilidade dessas empresas
que exploram serviços de comunicações interpessoais independentes do número,
estão, também, na disponibilidade das empresas (nacionais) que prestam serviços
de telecomunicações (operadoras).

Então, num primeiro momento, há a denúncia ao NMEC, que a encaminha

para o Ministério Público. Num segundo momento, o período durante o qual os
dados são posteriormente conservados em caso de identificação de suspeita
de abuso sexual de crianças em linha, deverão permanecer limitados ao
estritamente necessário para a execução dessas atividades. Os dados deverão ser
imediata e permanentemente apagados logo que deixem de ser estritamente
necessários para um dos objetivos especificados no presente regulamento, incluindo
nos casos em que não seja identificada qualquer suspeita de abuso sexual de crianças
em linha, e, em todo o caso, o mais tardar 12 meses a contar da data de deteção
da suspeita de abuso sexual de crianças em linha (transcrição do parágrafo 19.º
do preâmbulo do Regulamento 2021/1232).

Face a isto, nada parece obstar a que esses dados de tráfego possam
ser obtidos no processo penal, quer estejam em poder da empresa

Online, junho de 2023 | 11

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

denunciante (que os comunica através do NMEC), quer ainda estejam,

eventualmente, em poder da Operadora de telecomunicações, respeitado
que seja aquele prazo máximo de 12 meses. O Regulamento 2021/1232 permite,
assim, que os operadores de comunicações eletrónicas, proactivamente, detetem e
denunciem específicos conteúdos - de abusos sexuais de crianças em linha -, não se
tratando, por conseguinte, da mesma situação da Lei n.º 32/2008 (retenção
indiscriminada e em massa de dados)11.

O art. 3.º, n.º 1, al. h), do Regulamento 2021/1232 dispõe que:

“O artigo 5.º, n.º 1, e o artigo 6.º , n.º 1, da Diretiva 2002/58/CE não se aplicam
à confidencialidade das comunicações que envolvam o tratamento de dados pessoais
e outros por prestadores no contexto da prestação de serviços de comunicações
interpessoais independentes do número desde que:

(…)

h) em caso de identificação de suspeita de abuso sexual de crianças em

linha, os dados de conteúdo e os dados de tráfego conexos tratados para o

11
No dia 19 de abril de 2022, o Tribunal Constitucional decidiu declarar a inconstitucionalidade, com
força obrigatória geral, das normas dos artigos 4.º e 6.º da Lei n.º 32/2008, de 17 de julho, que
determinam a conservação, pelos fornecedores de serviços de telecomunicações e comunicações
eletrónicas, de todos os dados de tráfego e de localização relativos a todas as comunicações ou sua
tentativa, pelo período de um ano, com vista à sua eventual futura utilização para prevenção,
investigação e repressão de crimes graves. Entendeu o Tribunal Constitucional que uma obrigação
indiferenciada e generalizada de armazenamento de todos os dados de tráfego e localização relativos
a todas as pessoas — que revelam a todo o momento aspetos da vida privada e familiar dos cidadãos,
permitindo rastrear a localização do indivíduo todos os dias e ao longo do dia e identificar com quem
contacta, a duração e a regularidade dessas comunicações —, restringe de modo desproporcionado
os direitos à reserva da intimidade da vida privada e à autodeterminação informativa. O Tribunal
Constitucional declarou também a inconstitucionalidade da norma do artigo 9.º da mesma lei, na
parte em que não prevê uma notificação ao visado de que os dados conservados foram acedidos pelas
autoridades de investigação criminal, a partir do momento em que tal comunicação não seja
suscetível de comprometer as investigações nem a vida ou integridade física de terceiro. Ao não se
prever tal informação às pessoas atingidas, os visados ficam privados de exercer controlo efetivo sobre
a licitude e regularidade daquele acesso, em violação dos direitos à autodeterminação informativa (na
dimensão de controlo do acesso de terceiros a dados pessoais) e do direito a uma tutela jurisdicional
efetiva.

Online, junho de 2023 | 12

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

objetivo estabelecido na alínea a), subalínea i), e os dados pessoais gerados através
desse tratamento sejam conservados de forma segura, exclusivamente para fins de:

(…)

v) responder aos pedidos formulados pelas autoridades responsáveis pela

aplicação da lei e autoridades judiciárias competentes, em conformidade com o
direito aplicável, a fim de lhes fornecer os dados necessários para efeitos de
prevenção, deteção, investigação ou instauração de ação penal contra os crimes
previstos na Diretiva 2011/93/UE”, que, como vimos, podem ser conservados até ao
prazo máximo de 12 meses (art. 3.º, n.º 1, al. i) do Regulamento UE 2021/1232).

É indiferente que essa identificação de suspeita de abuso sexual de crianças

em linha tenha sido feita por uma entidade sedeada dentro ou fora da UE, bastando
que o utilizador do serviço tenha atuado em Portugal, nos termos do art. 18.º, n.º 3
da Diretiva 2011/93/EU 12:

Os Estados-Membros garantem que a sua competência jurisdicional abranja

as situações em que um crime referido nos artigos 5.º e 6.º e, se for relevante, nos
artigos 3.º e 7.º, seja cometido por meio de tecnologias da informação e da
comunicação acessíveis no seu território, independentemente de estarem ou
não baseadas no seu território.

Uma nota a assinalar quanto este Regulamento (UE) 2016/679 é o

âmbito da aplicação territorial, previsto no art. 3.º, que dispõe:

“Âmbito de aplicação territorial

1. O presente regulamento aplica-se ao tratamento de dados pessoais efetuado

no contexto das atividades de um estabelecimento de um responsável pelo

12
A Diretiva 2011/93/UE do Parlamento Europeu e do Conselho, de 13 de dezembro de 2011, foi
transposta para a ordem jurídica nacional pela Lei n.º 40/2020, de 18 de Agosto.

Online, junho de 2023 | 13

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

tratamento ou de um subcontratante situado no território da União,

independentemente de o tratamento ocorrer dentro ou fora da União.

2. O presente regulamento aplica-se ao tratamento de dados pessoais de

titulares residentes no território da União, efetuado por um responsável pelo
tratamento ou subcontratante não estabelecido na União, quando as atividades
de tratamento estejam relacionadas com:

a) A oferta de bens ou serviços a esses titulares de dados na União,

independentemente da exigência de os titulares dos dados procederem a um
pagamento;13

b) O controlo do seu comportamento, desde que esse comportamento

tenha lugar na União.

3. O presente regulamento aplica-se ao tratamento de dados pessoais por um

responsável pelo tratamento estabelecido não na União, mas num lugar em que se
aplique o direito de um Estado-Membro por força do direito internacional público.”.

Ou seja, as disposições deste Regulamento são aplicáveis ainda que o

responsável pelo tratamento não esteja estabelecido na União, desde que:

 o tratamento respeite a dados pessoais de titulares residentes

no território da EU e
 quando a atividade esteja relacionada com a oferta de bens
ou serviço e respeite a esses titulares de dados na União e
 que o controlo do seu comportamento tenha lugar na união.

13
Na versão oficial redigida em língua portuguesa, consultada em https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=PT; todavia, consultadas as versões em
espanhol, inglês, italiano e francês, este art. 3.º, n.º 2, encontra-se redigido com a conjunção
alternativa “ou” entre as als. a) e b) - cfr. https://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=celex%3A32016R0679.

Online, junho de 2023 | 14

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

III

Uma outra nota quanto à aplicabilidade direta dos regulamentos da União

Europeia.

A aplicabilidade direta significa que os regulamentos vinculam diretamente

todos os poderes públicos e os particulares, mesmo que não haja nenhuma lei
nacional que o determine, conforme estabelece o art. 288.º do Tratado sobre o
Funcionamento da União Europeia.

A aprovação dos regulamentos pelos órgãos da União Europeia, com a

consequente publicação e entrada em vigor, é suficiente para produzir efeitos no
direito interno dos Estados-Membros e que, ademais, prevalecem sobre as normas
aprovadas pelos órgãos de soberania portugueses em caso de conflito (princípio do
primado). Também os tribunais nacionais dos Estados-membros têm o dever de
aplicação direta dessas normas, na medida em que são os órgãos responsáveis pela
sua aplicação imediata nos casos concretos.

IV

Na perspetiva que ora se defende, o teor da denúncia feita através do NMEC

contém prova válida, a ser plenamente considerada, tal como dados respeitantes à
identificação dos utilizadores, à identificação de contactos telefónicos,
identificação do IP utilizado, data e hora. O Regulamento 2021/1232 permite, assim,
que as empresas continuem a processar dados para efeitos de sinalização e reporte
de conteúdos de pornografia de menores.

Em síntese:

Online, junho de 2023 | 15

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

I. Até 20.12.2020, as denúncias feitas pelas empresas através do NMEC

encontravam-se devidamente enquadradas nos termos da legislação norte-
americana e europeia 14. Acresce que as condições de utilização dos serviços
daquelas empresas, que são dadas a conhecer aos usuários, contêm disposições
contratuais que não permitem a partilha de pornografia infantil e que
inclusivamente advertem os utilizadores que será feita participação ao NMEC pela
própria empresa. Assim, essas denúncias também tinham uma componente
voluntária por parte das empresas.

II. No hiato entre 21.12.2020 e 30.07.2021, as denúncias feitas através do

NMEC tinham somente uma componente voluntária, de auto-regulação das
empresas, na sequência das regras que proibiam os utilizadores de utilizar material
respeitante a abuso de crianças em linha.

III. A partir de 30.07.2021 até 03.08.2024, as denúncias têm fundamento

no Regulamento 2021/1232, da UE, de 14.07.2021 (cfr. art. 10.º do Regulamento) e,
por remissão, no Regulamento UE 2016/679 do Parlamento Europeu e do
Conselho, de 27 de abril de 2016, pois o Regulamento 2021/1232 derrogou
temporariamente o artigo 5.º, n.º 1, e o artigo 6.º, n.º 1, da Diretiva 2002/58/CE
(transposta pela Lei n.º 41/2004, de 18.08), que protegem a confidencialidade das
comunicações e dos dados de tráfego.

IV. A denúncia feita através do NMEC é, em todo o caso, validamente feita

pelas empresas ao abrigo do protocolo de um código de conduta ou orientações
adotadas a título voluntário, em consonância com os seus fins comerciais, na
sequência da supervisão do sistema pela própria empresa (a exemplo do que já
acontece com a filtragem de spam ou de vírus), e com o enquadramento das
condições de utilização que a empresa faculta aos utilizadores, integrantes do

14
18 U.S. Code § 2258A - Reporting requirements of providers e Regulamento UE 2016/679 do
Parlamento Europeu e do Conselho, de 27 de abril de 2016.

Online, junho de 2023 | 16

 Algumas considerações sobre o acórdão dos Metadados do Tribunal
Constitucional (acórdão n.º 268/2022) e o crime de pornografia de menores
do art. 176.º do Código Penal

Ana Lúcia Gordinho / Ana Mexia

contrato estabelecido e por eles aceite, e da legislação norte-americana e europeia

(Regulamento (UE) 2016/679, Regulamento 2021/1232).

V. São válidos os elementos de prova que constam no formulário do NMEC,

enviado com a denúncia, fornecidos pela empresa que explora o serviço,
independentemente de terem mais ou menos de 6 meses, uma vez que foram
legitimamente detetados e comunicados.

VI. Por todo o exposto, o teor do acórdão do TC n.º 268/2022, no particular

contexto dos crimes de pornografia de menores, p.p. pelo art. 176.º do Código
Penal, não terá, salvo melhor entendimento, qualquer impacto quanto à prova
recolhida nos moldes referidos nem obsta a que seja validamente apreciada em
sede de julgamento.

Online, junho de 2023 | 17